PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : verschlüsselte LVM



marianfux
04.07.2007, 14:35
Hab mir zu diesem Thema schon einiges ergoogelt und hab nun vor, meinen neuen Rechner während der Installation von Etch zu verschlüsseln. Nun wären natürlich praktische Erfahrungen aus der community nicht schlecht. Ob alles verschlüsseln oder nur wenige Partitionen. Ob die boot-Partition auf alle Fälle unverschlüsselt werden muss. Wird der zur für die Kryptographie benötigte passphrase nochmals abgefragt etc... Und ganz wichtig: Welche Sachen hab ich vielleicht noch gar nicht bedacht?!

gruß marianfux?(

rikola
04.07.2007, 14:47
Bei der letzten Installation von Debian lenny/sid habe ich einige Partitionen in Kombination mit LVM verschluesseln lassen. Ich halte es nicht fuer sehr sinnvoll.
U.a. verlangt das System, dass swap verschluesselt wird, sobald eine einzige Partition verschluesselt ist. Fuer ein kritisches System ist das sicher sinnvoll, nur um jedoch eine verschluesselte Partition zu haben, um sich damit auseinanderzusetzen, finde ich das ein wenig nervig, da das System zum Stillstand kommt, wenn
a) der swap-Bereich zum Einsatz kommt
b) groessere Datenmengen verschoben/ geschrieben werden.

Also, wenn Du ein paar Daten verschluesseln willst, wuerde ich waehrend der Installation eine Partition freihalten und hinterher verschluesselt einbinden.

Wenn Du tatsaechlich ein verschluesseltes System haben moechtest, da Du mit Plattenraub o.ae. rechnen musst, so solltest Du wohl /home, swap und evtl. eine Datenpartition verschluesseln. /tmp und /var vermutlich auch noch, letzteres, da dort emails gelagert werden.

/usr oder / zu verschluesseln, halte ich nicht fuer sinnvoll, da man sich ja nur etch installieren muss, um rauszufinden, was dort steht ;-). Wie einfach es ist, /etc zu verschluesseln (da dort u.U. Passwoerter, zum Beispiel Deines ISP, stehen), weiss ich nicht.

tr0nix
04.07.2007, 15:21
Ich denke Rikola hat das meiste eigentlich schon gesagt. Schlussendlich kannst du dir böse ins eigene Bein schiessen, wenn du Systempartitionen verschlüsselst und irgendwann mal was schief geht. Ansonsten kannst du immernoch eine seperate Partition verschlüsseln die nicht systemkritisch ist und via useradd -d ein Homedirectory eines Users darauf platzieren.

saeckereier
16.08.2007, 01:13
Erstmal cryptsetup-luks mit Loop devices austesten.
Dann mit einer Partition
Dann mit einem Raid
Dann mit einem Raid mit einem LVM drauf.
Das war mein Ablauf, so habe ich es gelernt. Heute kann ich die Kommandos im Schlaf und du solltest dir vor Augen halten dass Verschlüsselung sehr schnell zu einer Einmalfahrkarte ins Datennirvana werden kann. Ich würde erstmal das ganze in einer einfachen Testumgebung (VM?) beherrschen bevor ich es dann noch mit LVM kombiniere, dafür sollte man das schon im Blut haben wie der Mechanismus läuft. Meine Endlösung (und das ist nicht die einzige Variante)
Festplatten -> Software RAID-5 -> LVM -> ( normales LV | cryptsetup LV )

EDIT: BTW du solltest auch Wiederherstellungsszenarien á la, ups aus Versehen formatiert durchspielen. Habe ich noch nicht und muss ich dringend noch... Der Startsektor mit den SChlüsselinfos kann schnell mal hopps gehen, denke ich